パスワードを忘れた? アカウント作成
13207280 story
Chrome

Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化が提案される 68

ストーリー by headless
提案 部門より
Symantecおよび傘下の認証局が適切な確認を行わないまま大量にSSL証明書を発行していた問題を受け、これらの認証局が発行した証明書に対するGoogle Chromeでの扱いについて、有効期限の短縮やEV(Extended Validation)ステータスの無効化などをChromiumプロジェクトのBlink開発チームが提案している(Googleグループ投稿The Registerの記事Softpediaの記事Ars Technicaの記事)。

チームでは1月19日からSymantecによる証明書の不正発行について調査を行っていたという。当初、不正に発行された証明書の件数は127件とされていたが、Symantec側の説明は徐々に範囲が拡大されていき、少なくとも3万件が数年にわたって不正に発行されていたことが判明する。2015年に発生したテスト証明書の無断発行に続いて繰り返されたミスと合わせ、チームは過去数年にわたるSymantecの証明書発行ポリシーや業務を信頼できなくなったとのこと。

提案の内容としては、Chrome 61以降でSymantecが新たに発行する証明書の有効期限を9か月以内とすること、今後数リリースのChromeでSymantecが発行した証明書の有効期限を徐々に短縮していき、新たな証明書への置き換えを進めること、Symantecが発行したEV SSL証明書のEVステータスを無効にすることが挙げられている。EVステータスについてはSymantecの信頼が回復するまで無効とするが、少なくとも1年以上先になるとのこと。

提案されているSymantecが発行した証明書の有効期限変更は、6月に安定版のリリースが予定されるChrome 59では33か月。その後の各リリースで6か月ずつ短縮され、10月のChrome 62では15か月となる。Chrome 63では開発版とベータ版で9か月となるが、安定版は年末リリースということもあって15か月とし、安定版ではChrome 64で9か月となる。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年03月27日 0時21分 (#3182881)

    俺を含めて

    • by Anonymous Coward on 2017年03月27日 0時27分 (#3182882)

      証明書ベースのシステムを突破することを考えたら(試行したら)理解できるよ
      後学のために記す

      親コメント
      • by Anonymous Coward

        > 証明書ベースのシステムを突破することを考えたら(試行したら)理解できるよ

        今の世の中だとこの発言は危険かも

        > 後学のために記す

        これがあるから大分安全確保されているけれど
        「自前のローカルシステムで」とか入れておかないと
        難癖の教唆で捜査対象にされかねない
        最悪は共謀罪主犯の未来

        # 防犯ノルマ主義の恐怖

      • by Anonymous Coward

        単にサーバ証明書いじってるだけだと理解が進まないけど
        加えてクライアント証明書認証も併用をはじめるとかなり理解が進むよ

  • by Anonymous Coward on 2017年03月26日 23時59分 (#3182879)

    証明書発行業務もやればいいのに。

  • by Anonymous Coward on 2017年03月27日 9時55分 (#3182942)

    専門家「本当に無効化しやがった、これは世界中で大混乱にになる・・・」
    一般人「何か変な警告出たけどこういうのは無視して進めばいいんだよな、え?間違ってないよね?」
    webサイト「chormeで証明書の警告が出た場合は以下の手順で無視して進めてください」

    なべてこの世は事もなし。

  • by Anonymous Coward on 2017年03月27日 13時12分 (#3183022)

    Symantec Backs Its CA
    https://www.symantec.com/connect/ja/blogs/symantec-backs-its-ca-0 [symantec.com]

    私たちはGoogle社がChromeブラウザにおいてSymantec SSL/TLSサーバ証明書をターゲットとして行なうアクションに強く反論します。この行為は想定外のものであり、かつブログに書かれた内容は無責任なものであると考えます。私たちは、この行為がSSL/TLSサーバ証明書に対するインターネットコミュニティの不確かな状況や不信感を生じさせるために行われたものではないことを願います。

    私たちの証明書発行業務ならびに過去の不適切な発行の影響範囲に関するGoogle社のステートメントは誇張されており、誤解を助長するものです。例えば私たちが3万枚の証明書を不適切に発行したとするGoogle社の主張は正しくありません。Google社が言及する事象において、3万枚ではなく、127枚の証明書が不適切に発行されましたが、これによる被害は消費者には及んでいません。私たちはこれらの状況を改善するために大規模な改善策を執り行い、問題に関わったパートナーに対してRegistration Authority(RA)としての指定を即刻解除し、またSymantecのSSL/TLSサーバ証明書の信頼を強化するためにRAプログラムの終了を発表しています。この管理の強化は非常に重要なものであり、他のパブリック認証局が未だ追従できていないものです。

    全ての大手認証局がSSL/TLSサーバ証明書の不適切な発行という事態を経験している中、Google社はブログの中でいくつかの認証局における問題の存在を指摘しつつ、Symantecの認証局のみをその提案の対象としています。

    (文章の残りは皆さんでどうぞ)

  • by Anonymous Coward on 2017年03月26日 19時49分 (#3182806)

    「シマンテック」→「すまんこって」

    # かなり既出っぽい
    # 英語表記ならアナグラムでいけそうだ

  • by Anonymous Coward on 2017年03月26日 20時09分 (#3182812)

    最大手は不正を働いてもBANされない、と。

    • by Anonymous Coward

      Symantecの証明書は結構なお値段なのに手抜きのボッタだったと。

      • by Anonymous Coward

        一番の問題はここ数年でSSL導入した中小企業のサイトは見れなくなるだろうな

        • Re:所詮 (スコア:4, すばらしい洞察)

          by Anonymous Coward on 2017年03月27日 9時18分 (#3182928)

          それは、その中小企業がSymantecに損害賠償請求や返品交渉して、別の会社から証明書買うべき話。
          信頼できない証明書なんて害しかないんだから、いきなり無効にしてもいいよ。

          親コメント
          • by Anonymous Coward

            現実的に
            ・シマンテックの唾が付いていない
            ・日本国内の法人で購入手続きできる
            ・数多くのブラウザに実装されているルート証明書である
            EV証明書発行機関というと何処があるかな?
            サイバートラストとグローバルサインとセコムトラストくらい?

    • by Anonymous Coward

      個人情報たっぷりお漏らししても「業務に支障が出る」という理由でプライバシーマーク剥奪のお目こぼしされた大日本印刷を思い出しますね

  • by Anonymous Coward on 2017年03月26日 20時17分 (#3182813)

    去年はWoSignでやられて、RapidSSLの有効期限3年の証明書に乗り換えた途端にこれかよ。

    # 次の乗り換え先の質問禁止

    • by Anonymous Coward

      俺俺証明書なら実質的に有効期限は無限です

    • by Anonymous Coward

      EVでないならLetsencryptでええやん
      期間短いけど無料且つ自動で更新できんだし

      # 商用で無料がーとかは説得頑張るのを仕事と見做すか否かで

      • by Anonymous Coward

        こんなの [srad.jp]が普通に居て、挙げ句プラスモデされてるような世の中だとEV SSLなんて必要ないのかもしれない、と思い始めた。

        • by Anonymous Coward

          アドレスバーが緑になる意味が分かってるやつが果たして何人いるんだろうね

          • by Anonymous Coward

            (自分以外が作った)中間者攻撃用の証明書を入れるリスクを理解してる奴よりは多い気もするが

            # そのうちEV SSLじゃないとブラウザが警告出すようになったりするんだろうか

            • Re:またかよ (スコア:2, すばらしい洞察)

              by Anonymous Coward on 2017年03月27日 9時21分 (#3182930)

              今回の件は証明機関そのものの信用に関わる話なので、
              今後は証明機関の格付けを行なう方向に行くんではないかと。

              過去10年間に大きなトラブルをやらかしたところは赤色の錠で、
              大きくなくてもそれなりのトラブルをやったところは黄色の錠で、
              何もトラブルを起こしていないところは緑色の錠で、
              それぞれ表示されるとかになるんでは。

              親コメント
              • Re:またかよ (スコア:4, おもしろおかしい)

                by Anonymous Coward on 2017年03月27日 11時09分 (#3182975)

                『格付け団体に寄付をすることで緑色の錠にすることが可能です』
                『お振り込み先はこちら』

                親コメント
              • by Anonymous Coward

                無事故無違反でもゴールドになれないなんてなんと厳しい…
                # 昨日免許更新に行ってきたAC

  • by Anonymous Coward on 2017年03月26日 22時57分 (#3182862)

    腐ったアプリ、誰が署名してるかな。
    もちろん、タイムスタンプサーバのことじゃないよ。

    • by Anonymous Coward

      ソフトの署名って作った人を保証してるだけで
      品質なんて保証してないと思うのだが。

      • by Anonymous Coward

        腐ったアプリが持ち込まれるのは、まっとうな署名機関じゃない気がするのです。偏りを見てると。

        • by Anonymous Coward

          アプリは認証局に持ち込まないよ。
          持ち込むのは鍵だけ。

    • by Anonymous Coward

      「通信糞遅いので星1つさえつけたくない」
      こういう格付けですか?

      # もしくはお布施出稿や手前味噌で高格付け

  • by Anonymous Coward on 2017年03月26日 23時00分 (#3182863)

    セキュリティ会社はマッチポンプなんだね

  • by Anonymous Coward on 2017年03月27日 8時05分 (#3182915)

    認証局とかいうどこの馬の骨かもわからんようなやつが
    発行した証明書を信用するとか、無理無理。

    安全だと勘違いするやつが出る分httpよりもなお悪い。

    • by Anonymous Coward

      まぁ、オレオレルート証明書の伝送手段含めて安全が担保されるならいいんだが、
      赤警告を無視する運用が常態化する使い方なら悲惨。
      # イントラでは意外と多いのでマジ勘弁。

      • by Anonymous Coward

        > オレオレルート証明書の伝送手段含めて安全が担保されるなら

        それができないなら、間違った安心感を抱かないように
        平文で通信してたほうがまし。

    • by Anonymous Coward

      そのオレオレ認証局は十分安全?
      警備員常駐?

      • by Anonymous Coward

        警備員ではダメですね、銃で撃たれたら一頃ですから。
        適切に施錠された施設でないと。

        #オレオレ認証局を立てようとして、発行するための隔離された施設で行うとCSRに記載しようとしたら
        そこまでしなくていいよと言われた経験が…

  • by Anonymous Coward on 2017年03月27日 10時47分 (#3182965)

    Chrome57.0.2987.110 (64-bit)でみてたんだけど
    JVN
    https://jvn.jp/ [jvn.jp]
    シマンテック
    https://www.symantec.com/ [symantec.com]
    がEVSSLだったはずが、社名など出ずに、「保護された通信」のみになってるのは
    これ関連かな?

  • by Anonymous Coward on 2017年03月27日 11時33分 (#3182984)

    一体何を信頼したらいいのか
    ビットコインみたいなメカニズムで、認証システムできないものかね

    • by Anonymous Coward

      時間かかり過ぎて使い物になんねえよ

  • by Anonymous Coward on 2017年03月27日 12時18分 (#3182997)

    有効な証明書が使われていたとしても、それは『偽サイトじゃない』『高い上納金を納めて運用してる』ってだけだよね。

  • by Anonymous Coward on 2017年03月27日 16時42分 (#3183170)

    「セキュリティ」という正義を振りかざして相手に無謬性を要求し、
    弱みのある相手を声高に非難し過酷な私刑を行うというのは、ポリコレ棍棒と同じ構図。
    「セキュリティ棍棒」的なものを感じる。

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...